29.12.2008 | Autor / Redakteur: Al Berg / Peter Schmitz
Obwohl E-Mail ein integraler Bestandteil des modernen Geschäfts ist, hängt der E-Mail-Versand immer noch von unsicheren Transportprotokollen ab, die entwickelt wurden, bevor irgendjemand vorhersagen konnte, wie wichtig E-Mail werden würde. Netzwerk-Administratoren können aber dank TLS (Transport Layer Security) für mehr Sicherheit sorgen.
TLS ist eine Variation des Secure Sockets Layer (SSL) Protokolls, das wir zum Schutz des Webverkehrs verwenden. TLS zu verwenden, um die Kommunikation zwischen zwei E-Mail-Gateways zu verschlüsseln, hat eine Reihe von Sicherheitsvorteilen. Zuerst authentifiziert sich jeder Mail-Server beim anderen und macht es schwerer, verschleierte E-Mails zu senden.
Zweitens wird der Inhalt der zwischen den beiden Mail-Servern ausgetauscht wird, verschlüsselt und schützt sie vor neugierigen Augen während des Transits. Zuletzt macht es die Verschlüsselung der Konversation zwischen den zwei Teilnehmern für Angreifer äußerst schwierig, am Inhalt der E-Mail herumzuhantieren.
TLS ist sicher kein Allheilmittel, aber es kann eine zusätzliche Sicherheitsschicht zu Ihrer E-Mail-Infrastruktur ohne viel Aufwand hinzufügen.
1. Kennen Sie die Grenzen von TLS, wenn Sie es mit anderen Formen von E-Mail-Verschlüsselung (PGP und S/MIME) vergleichen.
TLS schützt die Verbindung vor Ihrem Gateway zum ersten Ziel-Gateway. Wenn es dazwischen Hops (Zwischenstops) gibt, wenn die Mail von einem Gateway zu einem anderen weitergeleitet wird, geht der von TLS geleistete Schutz nach dem ersten kleinen Hop verloren. TLS ist zum Beispiel eine gute Wahl für zwei Unternehmen, die häufig kommunizieren und solange beide Gateways direkt miteinander kommunizieren.
2. Vergewissern Sie sich, dass die Organisation am anderen Ende der Verbindung fähig und bereit ist, TLS einzurichten.
Wie viele Dinge im Leben ist Verschlüsselung nicht nur Spaß. Wenn Ihr Gateway konfiguriert wird, um TLS zu verwenden, aber das des Empfängers nicht, erfolgt der E-Mail-Verkehr zu diesem Zielort ohne Authentifizierung oder Verschlüsselung.
3. Besorgen Sie sich ein digitales Zertifikat um Ihren E-Mail-Server zu identifizieren.
Während Sie Ihr eigenes selbst-signiertes Zeritifikat erstellen können, ist ein Zertifikat von einer bewährten Organisation (Trust Center) besser und erleichtert den Austausch und die Zertifizierung mit Ihrem E-Mail-Partner.
4. Konfigurieren Sie Ihr E-Mail-Gateway so, das es TLS-Verbindungen mit Clients unterstützt, die TLS-fähig sind.
Dies bedeutet, den Gateway-Zugang Zugriff auf Ihr neues Zertifikat zu gewähren. Wenn Sie Sendmail verwenden, finden Sie eine klare Beschreibung, wie man das Gateway konfiguriert auf der Sendmail-Homepage. Postfix-Benutzer können das Postfix-TLS-Readme konsultieren und Microsoft Exchange-Anwender können Informationen zu TLS in der MS-Knowledgebase finden.
5. Erziehen Sie Ihre Benutzer dazu, die Präsenz oder Abwesenheit der E-Mail-Kopfzeile zu erkennen, die ihnen sagt, dass eine E-Mail über eine TLS-Verbindung hereinkam.
In der Folge sehen Sie ein Beispiel für einen Header von einer über TLS gesandten Nachricht:
Der Teil des Headers, beginnend mit: „with ESMTP“ zeigt an, dass die Nachricht mit einer 168 Bit DES Verschlüsselung von einem Server hereinkam, der eine gültige Bescheinigung vorlegte.
Sobald Sie TLS auf Ihrem Mail-Server eingeführt haben, können Sie dieses Protokoll auch verwenden, um andere postgebundene Themen zu prüfen: zum Beispiel die Erlaubnis, wer Zugriff auf Ihren Server hat und Mail über Ihren Server versenden kann sowie welche Mail-Server sich mit Ihrem verbinden dürfen.
Obwohl TLS nicht perfekt ist und es nur einige der E-Mail-Sicherheitsprobleme adressiert, ist es eine gute E-Mail-Sicherheitsoption, die nicht auf einer Spitzentechnologie basiert. Wenn Sie sich Gedanken um E-Mail-Übertragungen auf ein Punkt-zu-Punkt-Modell und TLS machen, kann es eine ausgezeichnete Art sein, Ihrer E-Mail weitere Sicherheitsfunktionen hinzuzufügen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000691)
Wertvoll.
